賞品抽選コンテストに当選したマクドナルドの顧客は、キャンペーンの運営に使用された開発および本番データベースのログイン認証情報をハンバーガーチェーンからメールで受け取り、期待以上のものを手に入れた。
マクドナルドにこの失態を最初に報告したスタートアップ企業の創業者コナー・グレイグ氏は、ザ・レジスター紙に「ちょっと変だ」と語り、認証情報を含むコード文字列が「まるで偶然にメールにフォーマットされたかのようだった」と付け加えた。
ウェブプラットフォームツールキット「Creatorsphere」の創設者であるグレイグ氏も、全国の多くの英国人と同様に、マクドナルドの肉料理を堪能しています。マクドナルドの最近のプロモーションの一つは、モノポリーをテーマにしたプレゼント企画でした。来店客はハンバーガーと一緒にトークンを集め、そこに印刷されたプロモーションコードをマクドナルドのウェブサイトに入力しました。すると、マクドナルドから当選の可否を知らせるメールが届きました。
幸運な当選者は、新興の動画ストリーミングサイト「NextUp Comedy」の6ヶ月無料購読を含む、様々な商品やサービスを受け取ることができました。そのため、グレイグ氏は、マクドナルドから届いた無料購読に関するメールに、見覚えのあるコードの文字列が含まれていることに驚きました。
資格情報やその他の固有の文字列はEl Regによって削除されました
元ヒューレット・パッカードのエンジニアであるエル・レグ氏とビデオ通話で話し合った結果、電子メール本文の上にあるコードが Windows Azure データベースの接続文字列であると認識したという。
「このカテゴリはデータベース名を示しています」と彼は最初の行を強調表示しながら説明した。「そして、この『persists security info true』が問題です。これはfalseであるべきです。これをtrueに設定すると、実際に認証情報が出力されます。そして、このユーザーIDとパスワードは、本番環境のユーザーIDとパスワードと同じです。」
その影響に不安を抱いたグレイグ氏は、マクドナルドに連絡を取ろうとした。しかし、すぐに問題に直面することになった。米国巨大企業の英国拠点であるマクドナルドのウェブサイトにはsecurity.txtファイルが存在しないのだ。検索エンジンのクローラーに指示を与えるrobots.txtと同様に、security.txtには連絡先情報が記載されており、セキュリティ上の脆弱性を発見した人が企業の情報セキュリティ部門に直接連絡できるようになっているのだ。
次にマクドナルド本社に電話をかけたが、繋がったのは全員在宅勤務中という録音メッセージだったという。次に、見つけることができたマクドナルドUKのメールアドレス10件弱にメールを送信したが、誰からも返信がなかった。
彼は怒り狂い、マクドナルドに対応を懇願する動画をTikTokに投稿した。
最終的に、人間が彼のメールに返信しました。その返信は、件名を「責任あるセキュリティ開示」とし、侵害を報告しようとした彼の試みを「疑わしい」と記したメールに、誤ってグレイグ氏の名前をコピーし、EUに拠点を置くMSPにコピーしたものでした。何度かやり取りした後、グレイグ氏は情報セキュリティ担当者と話すことができ、担当者は状況を理解し、問題を解決することができました。
情報漏洩ウェブサイト「Have I Been Pwned」のTroy Hunt氏も、今週初めにメールが送信された後にTwitterでこの失態を指摘し、El Reg氏に直接伝えた。
マクドナルドは声明の中で、数名の顧客にメールで送信した認証情報は「ステージング」データベース用のみであると主張しました。このハンバーガーチェーンは、「ukproduction」というユーザー名とパスワードの組み合わせが何のためのものか尋ねたところ、回答しませんでした。また、顧客データは漏洩していないと主張しましたが、データベースが明らかにメールマーケティングキャンペーンと関連していたことを考えると、これは大胆な主張に思えます。
「影響を受けた方々には、これは人為的なミスであり、お客様の情報は安全であることを改めてお伝えするためにご連絡いたします。当社はデータプライバシーを非常に重視しており、このミスによって過度のご心配をおかけしたことをお詫び申し上げます」と、このファストフード店は締めくくった。
- マクドナルドのAIドライブスルーボット、生体認証プライバシー法違反で告発される
- ビッグマックとベーコンダブルチーズバーガーの世界でWindowsが転落
- マクドナルドがアトスにハンバーガーをやめるよう指示: ダダダダダ、IT を投入するぞ...
- マクドナルド、ハッシュを忘れてセキュリティ専門家を解雇
- マクドナルド、ハンバーガー販売禁止でイタリアの市を2000万ドルで提訴
グレイグ氏は、Microsoft Outlookのウェブアプリ版では、このメールにコード文字列が表示されなかったと指摘しました。彼は、Outlook Web Accessではコードをメッセージヘッダーの一部として解析しているのに対し、Gmail(上記画像)や他のメールクライアントではメッセージ本文の一部として表示されているのではないかと推測しました。
どうやら、マクドナルドの誰かが、マーケティング キャンペーンの自動返信を設定する際に、誤ってコピー アンド ペーストのエラーを犯したようです。The Registerが確認した、さまざまな人に送信された電子メールのバージョンには、コード スニペット内に同一のテキストと固有の文字列が表示されています。
根本的な原因が何であれ、上司がそれを喜んでいる可能性は低いようです。®
